Microsoft Direct AccessSwiss IPv6 Councilswissipv6council.chSunny Connection AGwww.sunny.ch
Themen         Was ist Direct Access         VPN Bisher         Direct Access High Level         Direct Access Voraussetzu...
Was ist Direct Access?
Direct Access von Microsoft         Always Connected – Better Protected – East to Manage         Feature von Windows 7 & W...
Remote Access / VPN bisher         Secure Clients „graben“ sich tief ins System ein         Oft erst nach Login, nicht sch...
DA High Level Übersicht         Remote Access Solution von Microsoft – Neues „VPN“         Bidirektionale Always on Verbin...
Vorraussetzungen für DA         Client Windows 7 Enterprise / Ultimate         PKI Infrastruktur                 Computer ...
Unterschied mit und ohne UAG         Ohne UAG – Vanille                 Mind. 1 DC & 1 DNS Server Windows 2008SP2 oder    ...
Und nun Setup.exe ausführen?         Wird schiefgehen – Ziemlich sicher         Alle Voraussetzungen erfüllt?             ...
Nochmals einige Vorraussetzungen          Windows 7 Enterprise oder Ultimate          PKI                  Erreichbare CRL...
Jetzt den UAG Assistenen starten11   Workd IPv6 Day @ Digicomp – 8. Juni 2011
UAG Assistent12   Workd IPv6 Day @ Digicomp – 8. Juni 2011
UAG Assistenen13   Workd IPv6 Day @ Digicomp – 8. Juni 2011
UAG Assistent14   Workd IPv6 Day @ Digicomp – 8. Juni 2011
UAG AssistentNext – Next – Next …..Moment, was war das jetzt gleich?Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste en...
ISATAP aktivieren? Konsequenzen          Jeder Vista, Windows 7 und          Windows 2008 Rechner im          gesamten Net...
Bisher17   Workd IPv6 Day @ Digicomp – 8. Juni 2011
Neu18   Workd IPv6 Day @ Digicomp – 8. Juni 2011
IPv6 funktioniert – Toll oder?          Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat          Vorrangt        ...
ISATAP          Muss nicht über DNS aktiviert werden          Test Rechner muss nur Host ISATAP auflösen können          H...
Weiter im DA Assistenten          Authentication Options – Die Zertifikate für die Authentifizierung          angeben     ...
Group Policies22   Workd IPv6 Day @ Digicomp – 8. Juni 2011
Ablauf UAG/DA Client Verbindungsaufbau          Client prüft via NLS ob er intern ist:                  Ja        direkt  ...
Tunnel ist vor Useranmeldung verfügbar DA-Client                                                   UAG                    ...
DNS - NRPT          Client muss wissen, welchen DNS Server er wann benutzt          Name Resolution Policy Table (NRPT)   ...
Aktive Verbindungen – wo seh ich die?          UAG Server                  Windows Firewall With Advanced Security > Monit...
Mögliche Probleme          HTTP/S Interface auf dem UAG kann nicht gestartet werden:            A timeout occurered. The I...
Fazit          Direct Access mit dem Always-On Ansatz bietet eine mögliche          Lösung zu den jetzigen VPN Umgebungen ...
Ausbildung     Zur Zeit sind folgende Kurse im Angebot:          2-tägiger IPv6 Essentials Hands-On Workshop          Wird...
Vielen Dank für die Aufmerksamkeit     IPv6 Grundlagen, Funktionalität,      Integration            von Silvia Hagen, Deut...
Upcoming SlideShare
Loading in...5
×

9. Direct Access Workshop - Marc Eggenberger

1,145

Published on

Nur ein neues VPN von Microsoft oder mehr? Was genau ist Direct Access? Wir erörtern die Vorteile dieser neuen Technologie von Microsoft, zeigen die Anforderungen, die Installation und eine Live Demonstration.

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,145
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

9. Direct Access Workshop - Marc Eggenberger

  1. 1. Microsoft Direct AccessSwiss IPv6 Councilswissipv6council.chSunny Connection AGwww.sunny.ch
  2. 2. Themen Was ist Direct Access VPN Bisher Direct Access High Level Direct Access Voraussetzungen Installation Mögliche Probleme Fazit2 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  3. 3. Was ist Direct Access?
  4. 4. Direct Access von Microsoft Always Connected – Better Protected – East to Manage Feature von Windows 7 & Windows Server 2008 R2 „Seamlessly connected“ „Improve Productivity of Mobile Workforce“ „Improved Manageability of Remote Users“ „Improved Security“ VPN? Steht nirgends4 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  5. 5. Remote Access / VPN bisher Secure Clients „graben“ sich tief ins System ein Oft erst nach Login, nicht schon bei Ctrl-Alt-Del Funktionieren nicht überall: IPSec gesperrt PPTP hinter NAT nur 1 User User müssen Verbindung herstellen5 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  6. 6. DA High Level Übersicht Remote Access Solution von Microsoft – Neues „VPN“ Bidirektionale Always on Verbindung – auch vor der Windows Anmeldung Funktioniert automatisch und von allen Netzen aus: Zuhause Hotel Etc Verwaltung komplett über GPO möglich Kommt in 2 Geschmacksrichtungen: Vanille: Nur Windows DA – 2008SP2/R2 DC/DNS, IPv6 only Vanille Erdbeere: Mit Forefront UAG – auch mit 2003 und IPv46 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  7. 7. Vorraussetzungen für DA Client Windows 7 Enterprise / Ultimate PKI Infrastruktur Computer & SSL Zertifikate Health Certs wenn NAP CRL Distribution Point (erreichbar intern UND extern) IPSec & GPOs DNS/ADC – mind. 1 ausser für Vanille Erdbeere, da muss nur der UAG Server Windows 2008R2 sein NLS Server 2 öffentliche IPs – aufeinanderfolgend und nicht genNATed Einige Firewall Exception Rules IPv67 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  8. 8. Unterschied mit und ohne UAG Ohne UAG – Vanille Mind. 1 DC & 1 DNS Server Windows 2008SP2 oder 2008R2 Nur IPv6 Resourcen erreichbar Mit UAG – Vanille Erdbeere UAG muss 2008R2 sein Interne IPv4 Resourcen auch erreichbar mittels NAT64 & DNS648 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  9. 9. Und nun Setup.exe ausführen? Wird schiefgehen – Ziemlich sicher Alle Voraussetzungen erfüllt? Klar – her mit dem Setup.exe …. Welche Voraussetzungen nochmals?9 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  10. 10. Nochmals einige Vorraussetzungen Windows 7 Enterprise oder Ultimate PKI Erreichbare CRL - http://technet.microsoft.com/en- us/library/ee649168(WS.10).aspx Spezielle Vorlagen für DA Clients und SSL-Server - http://technet.microsoft.com/en- us/library/ee649249(WS.10).aspx Öffentliche NIC muss ein Gateway haben, sollte aber keinen öffentlichen DNS Server eingetragen haben DNS64 Konflikt - http://technet.microsoft.com/en-us/library/dd857262.aspx NLS DA Clients versuchen NLS zu erreichen um zu testen ob sie intern oder extern sind.10 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  11. 11. Jetzt den UAG Assistenen starten11 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  12. 12. UAG Assistent12 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  13. 13. UAG Assistenen13 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  14. 14. UAG Assistent14 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  15. 15. UAG AssistentNext – Next – Next …..Moment, was war das jetzt gleich?Gemäss Anleitung ISATAP aus globalen DNS-Sperrliste entfernenund einen A-Eintrag erstellen - http://technet.microsoft.com/en-us/library/ee649158(WS.10).aspx15 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  16. 16. ISATAP aktivieren? Konsequenzen Jeder Vista, Windows 7 und Windows 2008 Rechner im gesamten Netzwerk wird seine virtuellen ISATAP Interfaces hochfahren und wird sie benutzen wenn er kann16 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  17. 17. Bisher17 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  18. 18. Neu18 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  19. 19. IPv6 funktioniert – Toll oder? Clients kommunizieren nun per IPv6 wo möglich – IPv6 hat Vorrangt Ist doch super – Oder etwa nicht? Die Applikationen benützen doch automatisch IPv4 wenn IPv6 nicht geht oder? … Nein (nicht alle) Testen testen testen Im Notfall: ISATAP auf dem entsprechenden Server abstellen und den AAAA Record aus dem DNS löschen19 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  20. 20. ISATAP Muss nicht über DNS aktiviert werden Test Rechner muss nur Host ISATAP auflösen können Hostsfile Eintrag ISATAP kann auch pro Hosts/Server deaktiviert werden: netsh interface isatap set state disabled Ist ISATAP zwingend? Nein, falls UAG eingesetzt wird (NAT64 und DNS64) braucht es ISATAP nicht Erste Schritte: Kein A Eintrag für ISATAP Nur auf Testrechner aktivieren und Hosts Eintrag verwenden20 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  21. 21. Weiter im DA Assistenten Authentication Options – Die Zertifikate für die Authentifizierung angeben Infrastructure Server NLS Server angeben DNS Suffixe für interne DNS Server DC Server Application Server End-to-Edge authenticaton and encryption für alle oder nur spezifische App Server Dann generiert der Assistent die Policies, die dann via Group Policy Management ersichtlich sind21 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  22. 22. Group Policies22 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  23. 23. Ablauf UAG/DA Client Verbindungsaufbau Client prüft via NLS ob er intern ist: Ja direkt Nein extern Direkt im Internet (kein NAT) Client benutzt 6to4 Hinter NAT und UDP geht Client benutzt Teredo Hinter NAT und UDP blockiert HTTPS-Tunnel über TCP/44323 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  24. 24. Tunnel ist vor Useranmeldung verfügbar DA-Client UAG Tunnel 1: DA-ClientAuth: Computerzertifikat + ComputeraccountGPOs, Patches, komplettes Client-Management 24 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  25. 25. DNS - NRPT Client muss wissen, welchen DNS Server er wann benutzt Name Resolution Policy Table (NRPT) Feature von Windows 7 / 200825 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  26. 26. Aktive Verbindungen – wo seh ich die? UAG Server Windows Firewall With Advanced Security > Monitoring > Security Associations > Main Mode netsh advfirewall monitor show mmsa DA Client netsh advfirewall monitor show mmsa26 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  27. 27. Mögliche Probleme HTTP/S Interface auf dem UAG kann nicht gestartet werden: A timeout occurered. The IP-HTTPS network interface cannot be enabled. Server neu installieren Alles (RDP, Antivirus, AD etc) geht, aber Zugriff auf Admin Shares (c$) geht nicht: Allow edge traversal auf einer spezifischen Firewall rule erlauben: http://technet.microsoft.com/en-us/library/ee809076.aspx27 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  28. 28. Fazit Direct Access mit dem Always-On Ansatz bietet eine mögliche Lösung zu den jetzigen VPN Umgebungen Bidirectional Vor dem Login verfügbar Transparent für den Benutzer ABER …. Der Implementierungsaufwand darf nicht unterschätzt werden!!!28 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  29. 29. Ausbildung Zur Zeit sind folgende Kurse im Angebot: 2-tägiger IPv6 Essentials Hands-On Workshop Wird bei Digicomp Academy in Zürich durchgeführt. Nächster Kurs 23./24. Juni 2011 2-tägiges IPv6 Essentials Seminar Öffentlicher Kurs oder als Firmenkurs – legt die technische Grundlage für alle Leute innerhalb der Organisation, welche mit der Planung und Integration von IPv6 zu tun haben. Auf www.sunny.ch/education/f_seminars.htm sind alle aktuellen Kurse zu finden.29 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  30. 30. Vielen Dank für die Aufmerksamkeit IPv6 Grundlagen, Funktionalität, Integration von Silvia Hagen, Deutsch 2. Auflage, Sunny Edition, 2009 ISBN 978-3-9522942-2-2 IPv6 Essentials by Silvia Hagen, English 2nd Edition, OReilly, May 2006 ISBN 978-0-596-10058-230 Workd IPv6 Day @ Digicomp – 8. Juni 2011
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×